24.9.06

Lænset bankkonto udløser dum bøde

I morgensdagens klumme på bagsiden af Berlingske Business tager jeg fat den aktuelle sag, om en bagmand i Dubai der får nuppet 25.000 kroner fra en netbankkunde i Danske Bank og 240.000 kroner fra en i Spar Nord. (Først fortalt af nyhedsbureauet Direkt). Begge banker har erstattet kundens tab, men Danske Bank afkrævede dog en selvrisiko på 1.200 kroner. Årsagen var, at kunden ikke havde beskyttet sin pc godt nok.

Nu er det heller ikke det letteste her i verden at beskytte sin pc godt nok. Banken har godt nok loven på sin side, men næppe læst, hvor stor en procentdel af danskerne, der har problemer med at få deres pc’er beskyttet godt nok eller som helt har opgivet det (det var vist omkring 50-60 procent – har glemt, hvem der stod bag undersøgelsen, om det var Danmarks Statistik eller IT- og Telestyrelsen).

HER ER LIDT INFORMATION FOR DEN MINDRE RUTINEREDE PC-BRUGER. ANDRE KAN SPRINGE TIL AFSNITTET ”BESKYTTENDE CERTIFIKAT”

Window XP sikrest
Man har det bedste udgangspunkt for at være beskyttet, hvis man er på den seneste version af Microsofts styresystem, Windows XP (opdateret med Service Pack 2 - denne sætning er rettet 25.9.)). XP er mere robust end de tidligere styresystemer og har mere automatik i beskyttelsen. Men XP kræver også en kraftigere maskine end de gamle versioner, såsom Windows 95, Windows 98 og Windows 2000. Næste generation, Vista, der kommer i starten af det nye år, skulle ifølge Microsoft være endnu mere sikker end XP, men kræver igen kraftigere maskine.

Men man er ganske godt beskyttet mod, hvad der skete for de to bankkunder, med en antivirus, der opdateres pr. fuldautomatik og en personlig firewall (tjek for eksempel Zone Alarm). Begge fik, så vidt jeg er orienteret, deres pc’er inficeret med ondartet kode af typen en trojansk hest. Den type kode åbner en slags bagdør til pc’en og så er det frit frem for aflytning og angreb.

En trojansk hest smugles typisk ind i et bilag til en mail. Så lad være med at klikke på et bilag fra en person, du ikke kender, og hav også din tvivl, hvis bilaget ser ud til at komme fra nogen, du kender. Afsenderadressen kan være forfalsket. Også hvis man går på visse web-steder og klikker hist og pist, kan man blive smittet. Typisk er det ret særprægede websteder, som de kriminelle bruger som smittecentral. Tøffer du ikke rundt på porno- og spilsteder er risikoen ikke så stor. Men altså – har du opdateret antivirus-beskyttelse, vil du være beskyttet mod trojanske heste. (En anden god måde at beskytte sig på er at holde sig til Mac-computere, eller bruge styresystemet Linux på pc’en).

Beskyttende certifikat
Problemet med den trojanske hest er imidlertid, at den også nupper det, som ellers har beskyttet danske netbankkunder ekstra. Vi har faktisk kun haft tre indbrud, hvilket er mindre end i de omkringliggende lande. Den ekstra beskyttelse udgøres af et certikat (en stump kode) udstedt til netop den pågældende bankkunde og placeret på kundens pc. I udlandet har man typisk nøjedes med brugernavn og pinkode, men i Danmark har næsten alle banker været enige om at tilføje certifikatet.

Engangspinkoder
En engangs-pinkode udgør også en god (men heller ikke fuldstændig) sikkerhed. Selv om den kriminelle måtte opsnuppe den, mens kunden går i netbanken, duer koden ikke en gang mere.
Jyske Bank bruger engangskoder. Danske Bank tilbyder også engangskoder (først og fremmest til Mac-brugere, men desværre ikke oveni certifikatet. Det er enten eller. Altså brugernavn plus engangskode, eller brugernavn, fast pinkode, certifikat-kode.
Det burde ellers kunne lade sig gøre med både og. Mere bøvlet bliver det dog for netbankkkunden. Hver gang man godkender en regning til betaling skal man lige have indtastet en ny engangskode (i stedet for den faste kode, der jo sidder i ”hovedet”).

Mellemmand i Hjørring scorede
Dubai-bagmanden brugte i øvrigt en mellemmand i Hjørring. Denne havde reflekteret på en af de mange annoncer, der ses på internettet om at tjene lette penge. Folk klikker blot på annoncer som "tjenpenge123", og så spørges de, om deres pc må bruges som mellemstation for pengeoverførsler. Jeg går ud fra, at "jobtilbudet" markedsføres som noget, der ser nogenlunde legalt ud. Hjørring-manden fik 15 pct. i provision, men skal nu ristes i retssystemet. I øvrigt mærkeligt at gå via mellemmanden, for han sætter jo elektroniske spor direkte til Dubai.

Kriminelle bag stillingsannoncer
Finansrådet satte i øvrigt i torsdags en advarsel op på deres web-sted med fokus på den type stillingsannoncer og danskere, som måtte være fristet til at score lidt provision ”bare” ved at lade deres pc være mellemstation for pengeoverførslerne. Det er ulovligt. Selvfølgelig. Og man kan vel ikke være så naiv at man tror, at et par klik belønnes med 15 procent af summen, der overføres. At hævde man er i god tro, er det samme som at erkende, at man er ganske og aldeles ubegavet.


OBS: Dette indlæg om Dubai-sagen erstatter det tidligere (der rummer lidt småfejl, blev jeg klar over).

14 kommentarer:

Bo Drejer sagde ...

Dorthe, god post om en kedelig situation!:-(

Netop angreb som disse er det som Windows Cardspace teknologien adresserer.

Det interessante her er at sikkerhedskompleksiteten skjules for brugeren, der blot skal vælge et "kort" og at selve sessionen er 100% isoleret så lokale programmer er lukket helt ude fra at sniffe...

Sikkerhed er jo som du er inde på tungt stof, men er du interesseret er der en god beskrivelse af Windows Cardspace her: http://msdn.microsoft.com/winfx/reference/infocard/default.aspx?pull=/library/en-us/dnlong/html/introinfocard.asp

Cardspace shippes med Vista men vil også være tilgængelig for Windows XP, ligesom at der nu også er skabt en identity selector til Mac som det kan ses her: http://www.identityblog.com/?p=579

Er ikke helt enig i din udlægning af at Mac/Linux skulle løse problemet da det forudsætter at hackere undgår Mac og Linux, hvilket jo ikke er tilfældet, men lad nu det ligge... ;--))
/Bo

fiddler sagde ...

betaler du annonce penge for konstant at henvise til denne blog på berlingske.dk? det er nærmest kvalmende!

Dorte Toft sagde ...

Kære Bo Drejer,
Jovist kigger hackere på Mac og Linux, men slet, slet ikke i det omfang, som de kigger på Microsofts Windows. Volumen er også en afgørende faktor, når man vil lænse folk for penge eller bare ødelægge. Det er endnu overmåde sjældent, at hackere retter sig mod Mac og Linux.

Vedr. Microsofts Cardspace-teknologi. Efter hvad jeg har læst hist og pist repræsenterer den lovende takter på flere fronter. Men er det ikke også på tide:-)

Det er imidlertid ikke bare en snuptagsløsning. Mange privatbrugere kan ikke eller vil ikke "lige" ryste op med de penge, det koster at købe en kraftigere pc. Vista-operativsystemet stiller jo krav om noget af et kraftværk, og har man ikke købt dyret for nylig, kan man måske få problemer med kapaciteten.

Selv i virksomheder med penge på kistebunden skiftes der typisk heller ikke operativsystem-generation, hver gang Microsoft gør det. Blandt andet på grund af de nødvendige investeringer i kraftigere pc'er.
mvh Dorte Toft

fiddler sagde ...

Servicepack 2 til xp er kumulativ- dvs. at den indeholder alle rettelser i servicepack 1!

Dorte Toft sagde ...

Til Fiddler,

Berlingske Tidende henviser til denne blog af flere årsager, men først og fremmest for at give læserne af mandagsklummen på bagsiden af Berlingske Business en service.

Det er meget begrænset, hvad der kan stå i en klumme, og det er ikke altid verdens letteste emner, jeg dækker. Derfor er det godt at have klummen i reserve med supplementsinformation, for den der vil vide mere eller påpege fejl og mangler.

Jeg betaler ikke annoncekroner til Berlingske for at få avisen henvise til klummen. Det ville da også vælte økonomien helt, for i forvejen tager jeg tiden til at skrive denne blog fra tiden, hvor jeg burde tjene penge. Jeg er jo free lance-journalist.

Mvh Dorte Toft

Dorte Toft sagde ...

Til Fidler - igen,
Tak for rettelsen. Jeg går straks ind og ændrer.
mvh Dorte Toft

Anonym sagde ...

Jeg kan nævne at basisbank har et smart system, hvor man modtager engangskoden som sms på sin mobiltelefon. Det gør jeg ikke behøver huske et ekstra kort med koder hvis jeg vil checke min konto andre steder end hjemme + skulle nogle få opsnappet den kode jeg skal huske, vil jeg modtage en sms på min mobil hvis de forsøger at bruge den.

At de så har valgt en implementation med en potientiel angrebsmulighed for "social engineering" er en detajle jeg ikke vil uddybe yderligt. Jeg har gjort dem opmærksom på problemet, men til ingen nytte. Håber de vil lytte når der kommer lidt mere snak om sikkerhed generelt (sikring af computeren er kun en lille del).

-Ivan

Dorte Toft sagde ...

Til Ivan,
Som jeg ser det har bankerne lullet sig i søvn efter først at have etableret et - den gang - overmåde sikkert forsvar. Men trusselsbilledet er ændret, og de kriminelle bliver bedre og bedre til at lure folk ved at læne sig op af folks autoritetstro (jamen mailen kommer jo fra banken....), folks høflighed, folks tillid. Bankerne KAN gøre mere ved deres egne systemer og ved at give kunderne en hjælpende hånd med sikkerheden på deres pc'er. Det tror jeg i hvert fald.
Men kommer debatten mon?
mvh Dorte Toft

Jørgen K. Rasmussen sagde ...

Det er ikke kun Basisbank som har et SIKKERT system.

Alle pengeinstitutter som benytter SDC Udvikling (tidligere alene sparekasser), kan tilbyde dette system - se en oversigt her http://sdc.dk/sdcu/piforside.asp.

Systemet fungerer ved at kunden kobler sig på sin NetBank med den kode man har fået fra sit pengeinstitut, på denne måde dannes den nøglefil som findes på PCen i (næsten)alle danske NetBanksystemer - Nu har kunden legimeret sig. Herefter kan kunden tilmelde sin mobiltelefon til NetBankaftalen - ofte kaldet CafeBank eller Mobilnøgle.

Nu sletter kunden nøglefilen fra sin PC, og således er selve den oprindelige NetBank væk fra PCen, og kan ikke misbruges.

Når kunden så ønsker at koble på sin NetBank, kan dette gøres ved at skrive sit brugernummer og adgangskode på en hvilke som helst PC - for at se informationer.

Skal man lave en betaling (eller andre bindende handlinger) skal man underskrive - dette gøres ved at nu sendes en sikkerhedskode som SMS til den mobiltelefon kunden tilmeldte tidligere, og nu kan der underskrives for betalinger/handlinger så længe kunden er logget på NetBanken.
Hvis kunden logger af skal der tilsendes nye (anderledes) koder som SMS igen.

Altså nye koder hver gang, som på denne måde ikke kan genskabes

Dorte Toft sagde ...

Til Jørgen K. Rasmussen,
Lyder godt. Men hvad hvis kunden mister sin mobiltelefon? Og hvad skal til for at ændre modtagende mobiltelefonnr?
mvh Dorte Toft

fiddler sagde ...

general comment- det er jo altid sådan at sikkerhed står i modsætning til "brugervenlighed". Skal man hver gang man skal foretage en transaktion via netbanken have en sms bliver det ALT for besværligt. Når dette er skrevet skal det bemærkes, at der her "blogges" om kun tre kendte tilfælde af svindel via netbanker. Det er efter min mening en storm i et glas vand. Hvad angår phishing- er der i Explorer 7 som "default" indbygget filter mod dette. IE7 er tilgængelig i betaversion for alle- og er browser i den kommende Vista.

Bo Drejer sagde ...

Hej Dorte,
Jeg er enig i at dette langtfra er et snuptag :-) Og ja Windows er et langt større mål end Mac og Linux, men det er jo ikke ensbetydende med at de ikke er sårbare overfor angreb...

Omkring maskinkrav til Vista, så er det jo kun hvis man vil have den ultimative grafik at Vista kræver kraftige maskiner. Vista burde køre ganske fornuftigt på de fleste 2 år gamle maskiner - hvilket flere af mine kolleger gør med seneste RC1 udgave...

Og så bliver Cardspace jo også tilgængelig på Windows XP, så de virksomheder som venter med at opgradere også kan køre det.

Glæder mig iøvrigt til at hilse på dig til Blogforum..
/Bo :-)

Jørgen K. Rasmussen sagde ...

"Og hvad skal til for at ændre modtagende mobiltelefonnr?"

Der skal det til at man får en ny kode fra sit pengeinstitut, og køres proceduren igennem igen.

Der er jo ikke noget sikkerhedsmæssigt problem med at miste mobiltelefonen, for selv om man gør det er der jo ingen som kender de koder man anvender i sin Netbank, og skal bruges sammen med mobiltelefonen - og man har jo selvfølgeligt ikke gemt disse koder på mobilen ;)

Dorte Toft sagde ...

Til Bo Drejer,
Ups. Jeg havde glemt, at tilbuddet også kommer til XP. Godt du korrigerede det.
mvh Dorte Toft